Блог Сергея Борисова про ИБ

Недавно в Деловом Квартале вышла моя статья – в которой напоминаю, что, несмотря на пандемию, задачи по обеспечению безопасности критической инфраструктуры никто не отменял, а категорирование КИИ всё ещё провели лишь небольшой процент организаций. Есть много организаций которые задаются вопросом, а распространяется ли на них требования 187-ФЗ и должны ли они что-то делать? Ещё год назад я рекомендовал начинать с изучения своих основных видов деятельности и выкладывал таблицу соответствия ОКВЭД-2 и сфер деятельности 187-ФЗ.Все это время, по сути, когда новый клиент обращается за советом к какому-либо консультанту, тот начинает с подобного анализа. И я, например, когда общаюсь с представителем новой, незнакомой мне организацией по вопросам КИИ, для начала глазами просматриваю в публичных источниках – что у них по видам деятельности и лицензиями: они вообще в КИИ или нет? Так бы это и продолжалось, если бы УЦСБ не решили изменить мир к лучшему: в дополнение к ранее существовавшему сервис…

На прошлой неделе опубликовали проект Порядка согласования со ФСТЭК России подключения значимых объектов критической информационной инфраструктуры к сети Интернет (ССОП). Давайте посмотрим не него подробнее.Такое согласование требуется далеко не всегда: объект КИИ значимыйподключается именно к ССОП, а не к собственным / выделенным / арендованным каналам связипри категорировании объекта КИИ не подавалось информации о наличие подключенияподключение к сети Интернет необходимо для обеспечения функционирования объекта КИИ, например:управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами) доступ к информационным ресурсам обеспечение информационного взаимодействия между территориально распределенными сегментами значимого объекта, либо между значимым объектом и иными системами (сетями)Но если предположить, что в перспективе многие объекты будут использовать сеть Интернет хотя бы в к…

Почти на каждом вебинаре встречаются вопросы про сферу действия 683-П, 684-П, 672-П, 382-П (старого и нового). Подготовил немного инфографики по этому поводу:

Область действия Положений по типам организаций







Область действия Положений по типам защищаемой информации
















Область действия Положений по типам объектов, для которых необходимо обеспечить уровень защиты по ГОСТ 57580.1 и проводить оценку соответствия по ГОСТ 57580.2












Область действия Положений по типам объектов, для которых необходимо проводить тестирование на проникновение












Область действия Положений по типам ПО, для которых необходимо проводить сертификацию или анализ уязвимостей по ОУД 4

Совместно с компаний УЦСБ провели уже два вебинара по безопасности финансовых организаций.
В рамках подготовки к вебинару собрал наиболее интересные вопросы из разъяснений и информационных сообщений Банка России по вопросам применения НПА, связанных с информационной безопасностью.Туда же добавил интересные ответы на вопросы с вебинаров.Получился хороший такой FAQ, примерно на 50 вопросов, с ссылкой на источники.
Вынес FAQна отдельную страничку – пользуйтесь. Также будут пополнения по мере проведения остальных вебинаров – есть смысл добавить в закладки. Планируем ещё задать ещё серию вопросов в ЦБ РФ. Коллеги, можете добавить свой вопрос в общий пакет.

Кстати, следующий вебинар по теме «Анализ уязвимостей по требованиям к ОУД4» состоятся уже в среду – 29.04.2020 в 11.00. Эксклюзив. Такой анализ нужен всем, а материалов по нему фактически нет. Успевайте зарегистрироваться.

PS: Ну и в целом, сделал небольшой редизайн в блоге. Мне такой больше подходит для структурирования уже имеющейся…

В текущих условиях, когда все очные мероприятия отменены, хорошей возможность поучится и обсудить насущные вопросы дают вебинары. Подавляющее большинство их сейчас посвящено удаленному доступу, а по другим темам почти ничего нет.

Поэтому мы с УЦСБ решили запустить новый большой сезон экспертных вебинаров, посвященный безопасности финансовых организаций - много новых требований, мероприятий, много вопросов по их выполнению.

Уже вышел первый вводный вебинар для некредитных ФО:


В следующую среду, 22.04.2020 в 11.00 пройдет второй вводный вебинар, для кредитных ФО.
Обсудим требования 683-П, 672-П, 382-П, системы на которые они распространяются, информационные сообщения и разъяснения ЦБ РФ и поговорим про рекомендуемую дорожную карту мероприятий, с учетом всех этих документов.
Успевайте зарегистрироваться тут.

Следующие вебинары серии будут посвящены:
анализу уязвимостей по ОУД 4внедрению ГОСТ 57580.1аудиту по ГОСТ 57580.2тестированию на проникновение в ФОкриптографии в ФОбиометрии в ФОонла…

9 апреля 2020 года в сопровождении информационного сообщения ФСТЭК России N 240/22/1534 на общественное рассмотрение был выложен проект методики моделирования угроз безопасности информации.

Основные идеи и этапы моделирования угроз в соответствии с новой методикой я осветил в коротком 5-минутном видеоролике.


Также выкладываю mindкарту Методики, которую я делал в рамках подготовки видеоролика, возможно кому-то такой формат будет удобнее

Ну и отдельно хотелось бы оставить мой отзыв о методике, дать предложения и замечания: 1.Как мне показалось, авторы хотели как-то совместить угрозы, сценарии, техники и тактики, но так и не успели (хотя прошло 5 лет с момента прошлого проекта) до конца все продумать, четко и понятно донести до читателя. Вот несколько свидетельствэтому: ·В методике нет четкого определения “угрозы БИ” и того на каком этапе она должна возникнуть в методике: oВ пункте 3.4 в таблице 1 приводится перечень неких угроз (возможно ошибочно), которые определяются на этапе Определения …